caricamento...

Settembre 29, 2020

Malspam, l’importanza di un email gateway antispam

Con agosto e settembre 2020 si sono registrati picchi a mio avviso allarmanti di campagne malspam in Italia. Con quest’ultimo termine, che contrae “malware spam”, andiamo a definire tutta una serie di virus che proliferano e si diffondono tramite campagne email massive ed inducono l’utente a cliccare su un link o ad aprire un allegato (doc, pdf, ma anche zip e p7m e p7s della posta certificata PEC). Inutile dire che le email sono confezionate ad-hoc e localizzate in italiano, spesso partono da contatti fidati per mezzo di phishing e furti di identità: non sono sicuramente minacce facilmente riconoscibili, e pertanto insidiose. Tra i più diffusi ad oggi, in ordine di scala: Emotet, AgentTesla, FormBook, LokiBot ed il buon vecchio trojan banker Ursnif. Spesso un PC infetto, prendiamo ad esempio il caso di Emotet, può essere veicolo di attacchi più strutturati e consentire al malintenzionato di penetrare le difese aziendali scaricando in seguito altri tool di follow-up come i malware TrickBot, Ryuk e QakBot (non sempre rilevati dalle suite antivirus e dagli agent di endpoint protection).

Dal Cyber-Thread Report mensile di TG Soft

La soluzione a Emotet: un antispam efficace

Come difendersi quindi da virus che prendono l’invio massivo di spam e la replicazione tramite email come loro punti di forza? In primis, cercando di minimizzare l’errore umano (quel click sbagliato che può mettere in ginocchio non solo il proprio PC, ma anche l’intero parco macchine della ditta). Per farlo, ci sono varie strade:

  • Endpoint Protection: ad oggi molte suite antivirus “smart” sono dotate di sandboxing, dove la rilevazione classica dovesse fallire (spesso, considerando che gli allegati sono crittografati nella maggior parte dei casi) la protezione proattiva dovrebbe intervenire per eseguire il codice indesiderato in una porzione di memoria virtuale e disinnescare il problema alla radice;
  • Permessi di sistema: limitando adeguatamente lo spazio di manovra degli utenti finali, per quanto compatibile con il business aziendale, un buon sistemista può prevenire il problema in modo radicale;
  • Antispam perimetrale: se l’utente non riceve email infette non potrà compiere azioni catastrofiche, l’idea è quella di filtrare ciò che arriva in ingresso (e possibilmente, anche le comunicazioni che escono).

Considerando che prevenire è meglio che curare – e soprattutto pensando che dei permessi di sistema c’è poco da dire (leggasi Active Directory), mentre al contrario del ventaglio di offerta di agent di sicurezza potremmo scrivere un libro – in questo post ci concentreremo sul come scegliere ed adottare un sistema antispam perimetrale, anche per Gsuite ed Office 365, a tutela della nostra sicurezza informatica.

Come scegliere un Email Gateway

Partiamo con la teoria, dalle basi. Un antispam perimetrale o email gateway non è altro che un server proxy progettato per la specifica funzione di filtrare email, in entrata (inbound gateway) ed in uscita (outbound gateway). Proprio per come concepito questo prodotto andrà ad interporsi tra il web ed il nostro server di posta, spacciandosi esso stesso come mailserver e diventando quindi record MX del nostro dominio. Nota bene, ma con molto affetto: se sto iniziando a parlare arabo o state perdendo il filo è normale, stiamo scendendo nel tecnico, potete sempre commentare per qualsiasi dubbio o domanda!

Citerò ora alcuni software che ho avuto modo di usare / testare in passato, in ordine di mia preferenza personale. Quella di questo blog non pretende di essere una lista esaustiva di tutti i sistemi antispam esistenti nell’universo, ma aspira ad essere una dritta disinteressata per aiutarvi a combattere questa ondata di virus del 2020 (come se il 2020 non fosse già stato un anno spettacolare). Ho deliberatamente optato per escludere qualsiasi soluzione che sia esclusivamente cloud o che non possa essere liberamente installata on-premise, proprio per avere un ambiente web solido e sicuro.

  • LibraESVA [https://www.libraesva.com] – Software commerciale sviluppato in Italia, vale ogni euro speso ed è un investimento che si ripaga da solo. Molto easy ed user-friendly, estremamente potente, ma soprattutto gestibile in autonomia dagli utenti finali senza provocare fastidiosi mal di testa.
  • Proxmox ESG [https://www.proxmox.com/en/proxmox-mail-gateway] – Prodotto open-source venduto anche con licenza commerciale e qualche fronzolo in più, ma già l’instanza gratuita è più che sufficiente. Richiede KVM lato server per essere installato, è altamente configurabile e flessibile, non è immediato da usare.
  • MailCleaner [https://www.mailcleaner.org] – Bello, gratuito, funziona. Non avrebbe controindicazioni, se la politica di vendita non prevedesse una community edition limitata e tante belle funzioni fondamentali a pagamento.
  • ScrollOut F1 [http://www.scrolloutf1.com] – Altro prodotto open, l’interfaccia grafica non è il massimo ma è tutto sommato di facile utilizzo e si ottiene il risultato desiderato con pochi click e qualche immancabile incoraggiamento vocale. Progetto mantenuto in maniera un po’ discontinua ultimamente.
  • MailScanner [https://www.mailscanner.info] – Per niente facile da implementare o da usare, ma è una garanzia. Rispecchia lo stereotipo dei prodotti opensource: fanno il loro lavoro, ma al prezzo di avere qualcuno di competente che li tenga d’occhio (con sguardo minaccioso).
  • Hermes SEG Community [http://www.deeztek.com] – Come per MailCleaner si tende a scambiare contante per funzioni, ma nella sua versione gratuita Hermes svolge egregiamente il suo lavoro. A patto che sappiate quel che state facendo.

Antispam on-premise o cloud?

Una volta scelto il software che più vi aggrada, inevitabilmente sorgerà il dubbio amletico. Cloud, o non cloud?

Mi sono riservato questa domanda in chiusura del post, proprio perché installare e mettere in produzione il software è compito dei vostri tecnici. A loro fare le dovute valutazioni e consigliarvi cosa fare, proprio in virtù delle dimensioni dell’Azienda e delle risorse tecnologiche a disposizione.

Molto alla buona, ed essendo sintetici: a meno che non abbiate abbastanza banda da dedicare alla mole di posta da processare, uno SLA al 99,9999% ed un server abbastanza “scarico” da tenere in piedi una macchina virtuale così importante, valutate assolutamente l’investimento di un bel server dedicato in qualche web-farm di tutto rispetto. Nella migliore delle ipotesi con un canone mensile contenuto e con qualche costo di licenza sarete in grado di assestare una bella spallata ai problemi di mail-bombing e di debellare i virus prima ancora che entrino nei vostri sistemi.

Posted in TecnologiaTaggs: